※ 本文為 zbali.bbs. 轉寄自 ptt.cc 更新時間: 2017-05-14 14:00:59
看板 AntiVirus
作者 imasa (便當俠)
標題 Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統
時間 Sat May 13 07:58:41 2017


※ 引述《imasa (便當俠)》之銘言:
: 有興趣的人可以看看
:
: http://roger6.blogspot.tw/2017/05/wanacrypt0r-20-eternalblue-ms-17-010.html
:
: 在此就先不浪費篇幅在這post了
:
: 推 bignose0623: 想請問如何知道電腦有無中獎?在檔案尚未察覺被加密   05/13 05:28
: → bignose0623: 前,感謝                                           05/13 05:28

這裡有偵測的script下載
https://github.com/countercept/doublepulsar-detection-script
GitHub - countercept/doublepulsar-detection-script: A python2 script for sweeping a network to find windows systems compromised with the DOUBLEPULSAR implant.
[圖]
doublepulsar-detection-script - A python2 script for sweeping a network to find windows systems compromised with the DOUBLEPULSAR implant. ...

 

或者你也可以下載我改寫後打包起來的程式來偵測:
v1.06
https://mega.nz/#!aQQWEDAA!BuzKVICsuslIGEjgYRyV8gjxnaopivDV_13H0sUIqEE

備用載點:
https://www.mediafire.com/?jiph1b52d3uuwei
EternalBlueDetector106
[圖]
EternalBlueDetector106.zip ...

 

執行前請確認檔案有無被偷改過

v1.06 File Info
Executable File SHA1: 3DE8A176F3A8EC4AA33C1DA6B5EB18DFEBDFDEBF
Executable File Size: 9,248,968 Bytes

檢查自己機器時,左鍵點兩下程式就可以了 (XP除外)
下面是程式執行後的偵測結果

現在會直接掃描電腦是否有安裝相關的的 MS17-010 KB
KB號碼參考同討論串其他網友分享的ID


尚未被攻擊:
顯示 No presence of DOUBLEPULSAR SMB implant

http://imgur.com/bhha3st
[圖]
 


被攻擊成功:(WanaCrypt0r可能已進行加密中或潛伏期)
http://imgur.com/BXFTu8G
[圖]
 


按照我前文的內容把SMBv1協定關閉時
顯示 This machine has already closed SMBv1 protocol
這是我自己加的、原本的script沒有這段,會跳exception
這是win7的範例圖
http://imgur.com/vxjHIth
[圖]
 

winXP的範例圖
http://imgur.com/wCqEQzJ
[圖]
 

偵測程式的其他用法請參考原始script的說明


--

  貧血軟派羅傑君
    http://roger6.blogspot.tw
  熱血系列粉絲團
    http://www.facebook.com/KunioGame

--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.42.160.182
※ 文章代碼(AID): #1P5amuty (AntiVirus)
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1494633528.A.DFC.html
akay08: 推推1F 05/13 08:15
coolcliff01: 補充一下 Win10 開這會被擋 要選擇仍要執行才會動2F 05/13 08:18
rbdgemzo: 感謝你3F 05/13 08:20
abram:  昨天這麼熱鬧 我卻因為林奕含案沮喪到關機逃過一劫 冥冥之4F 05/13 08:20
abram:  中也許是林女在保佑我的電腦 謝謝啦
luminous214: 請問vista有得補漏洞嗎QQ?我的最後卡在去年的更新但6F 05/13 08:22
luminous214: 也是一直無法下載 ,是因為不支援了所以檔案整個沒得
luminous214: 載了嗎?謝謝
noddle: 推9F 05/13 08:30
proletariat: 在熱門板排名快衝到前10了@@10F 05/13 08:39
proletariat: 哇嗚 已經進前10了
xjp004123: win10用了直接跑一下馬上不見,跨某12F 05/13 08:53
imasa: win10不需要用這個  本身就沒漏洞了...13F 05/13 08:55
xjp004123: 好的,謝謝14F 05/13 08:56
alkahest: 感謝!15F 05/13 09:00
e446582284: 目前沒中,但本身是盜版win7,更新5月的會藍屏……16F 05/13 09:01
e446582284:   現在不知道要不要換win10…
germun: win10不是沒漏洞, 是正常情況下已經強制幫你更新了...18F 05/13 09:05
germun: 問題是在有沒有更新, 不在win10還win7...
HELLDIVER: 喔喔喔 人數持續攀升中20F 05/13 09:09
kohinata: 大半原因是新聞在抱了21F 05/13 09:10
chachabetter: 當初剛裝WIN10覺得強制自動更新很靠盃,現在覺得關22F 05/13 09:17
chachabetter: 掉才是不知死活QQ
bee13014125: win7 sp1,檔案直接放在C: 顯示已經停止運作24F 05/13 09:19
bee13014125: 不知道跟使用者名稱是中文有沒有關係?
ciaerin: 昨晚電腦怪怪的,要怎麼知道自己有沒有中啊26F 05/13 09:25
imasa: 路徑請不要有中文27F 05/13 09:25
ciaerin: 我的意思是...我不敢再練網了,沒練網的情況下可以知道28F 05/13 09:27
ciaerin: 嗎
bee13014125: 我直接放在C:\底下耶 完全沒中文30F 05/13 09:29
paul40807: 推這篇31F 05/13 09:33
andylee84126: 我打開來以後顯示點任意鍵繼續但 點下去後就跳出了32F 05/13 09:37
b24333666: 推33F 05/13 09:38
okitasoshi: 這一定要推34F 05/13 09:38
geesupreme: 推!35F 05/13 09:40
mrporing: 昨天沒開機,早上起來看到就想拔儲存槽,只留系統槽更新36F 05/13 09:46
HELLDIVER: 我的習慣是用外接盒 但系統碟裡的檔案就沒辦法了37F 05/13 09:48
b24333666: W10開起會閃跳38F 05/13 09:48
F16V: 請教目前有win8的災情嗎39F 05/13 09:50
F16V: 還是都8.1?
HELLDIVER: win8都在中槍名單中41F 05/13 09:50
F16V: gg QQ42F 05/13 09:51
carlyu: 請問出現closed是否也代表沒有被implant?43F 05/13 09:53
carlyu: 謝謝
tzback: 我Win10也是閃一下就關了 什麼都沒看到45F 05/13 09:55
bignose0623: 感謝46F 05/13 09:58
alex90236: 幫推  感謝強者幫忙整理47F 05/13 09:58
tonyxfg: 請問我點了後,出現無法連線,因為目標電腦拒絕連線,這48F 05/13 10:04
tonyxfg: 是代表什麼情況?
HELLDIVER: 就關起來了這樣50F 05/13 10:06
tonyxfg: 喔喔,所以這代表我的電腦已經堵上這個洞了嗎?非常感謝51F 05/13 10:08
daidairu: 我想請問一下這支程式  假如我已經中毒了 但後來關掉SMB52F 05/13 10:11
daidairu: 那顯示結果會是 你被攻擊了   還是 你關SMB 所以安全了?
squrar: http://imgur.com/NcXk592 win10跑這樣算安全?54F 05/13 10:14
[圖]
 
Seattle995: win10 會怕!所以早上就1607更新成1703了 @@55F 05/13 10:17
r1426000000: 那要怎麼樣關閉SMBv1呢?56F 05/13 10:20
hn9480412: Vista可以補到4月份以前的漏洞57F 05/13 10:20
andrewyllee: 我電腦沒那個協定耶 W758F 05/13 10:21
※ 編輯: imasa (114.42.160.182), 05/13/2017 10:31:59
hsr7016: 為啥我路徑也沒中文還是依開啟就當掉?59F 05/13 10:31
hjhj002244: 請問中毒的話NAS也會被感染嗎60F 05/13 10:32
imasa: 我更新了偵測程式,請重新下載61F 05/13 10:32
imasa: 會根據不同windows而有不同的行為,請參考更新後的內文
imasa: 主要更新內容是win10會跳過、xp需要手動輸入IP
imasa: vista需要在別台電腦測試
kreuzritter: 請問昨天Avast攔截到一次mssecsvc.exe,剛剛搜尋電65F 05/13 10:34
kreuzritter: 腦,未發現有相關的檔案
kreuzritter: 這樣算攔截成功可放心,還是已經中標等哪天自己引爆
kreuzritter: 了?(win7)
playerkilled: 感謝I大的文章69F 05/13 10:38
matsuri: 請問,我是照前文關掉SMB1以後才跑偵測軟體,70F 05/13 10:39
MakiseKurisu: 所以要再重新下載一次嗎~?71F 05/13 10:39
MakiseKurisu: mega中的那個檔案
squrar: 再下一次吧 I大有修正了73F 05/13 10:40
matsuri: 雖然偵測軟體顯示已經關掉,會不會還是有發作的風險?74F 05/13 10:41
MakiseKurisu: 好的 感謝~ 也有在更新檔案中看到新的txt檔75F 05/13 10:42
imasa: 如果別的病毒偷開或是手殘把SMBv1又打開 就會有風險76F 05/13 10:43
Rock0930: 感謝大大無私分享77F 05/13 10:43
matsuri: 筆電重灌回到WIN8後就沒法上8.1,現在挫咧等XD78F 05/13 10:44
gemini2010: 問題是我現在不敢連網RRRRRR79F 05/13 10:51
Ejaculation: 為啥 我也是一打開就停止運作 感恩大大教我80F 05/13 10:52
kondoyu: 有中毒是用撥接還是用分享器上網的81F 05/13 10:55
imasa: Ejaculation能傳張圖給我看看嗎? 停止運作的圖82F 05/13 10:55
HELLDIVER: 不曉得 不過我用分享器上網沒中槍 當然 現在已經更新了83F 05/13 10:56
qama: 請問如果事先用內建的BitLocker把硬碟鎖住有用嗎?@@ 謝謝84F 05/13 10:57
LightEcho: 所以先把SMB關掉再下載偵測軟體嗎?85F 05/13 11:01
johnsky75: 感謝!!!!86F 05/13 11:05
XAIOQ: 想借問一下 如果筆電是雙系統 這樣是不要切到windows那邊就87F 05/13 11:06
XAIOQ: 可以嗎 還是也要更新
newage5566: 開啟程式都錯誤..路徑都英文了啊89F 05/13 11:07
cospergod: 感謝您的熱心90F 05/13 11:10
tzback: 感謝大神 更新後可以了 http://i.imgur.com/qwOXNSl.png91F 05/13 11:11
[圖]
 
slfantasy: 請問WIN10看更新紀錄是要更新哪個才算安全~92F 05/13 11:13
kaine130243: 小弟的windows服務中。沒看到smb欸。這是代表?93F 05/13 11:14
kevin135k: 感謝 先處理起來避免萬一94F 05/13 11:16
Blueelephant: 請問W7 4月底有更新 這樣還需要更新嗎?95F 05/13 11:19
levihanji: 好奇問一下 這病毒會影響家中wifi嗎96F 05/13 11:20
ariawind: 開啟錯誤,路徑都英文 http://imgur.com/lWVC2nV97F 05/13 11:21
[圖]
 
tzback: #1P5UOwpc 7/8.1看更新代碼有沒有更新到98F 05/13 11:22
imasa: ariawind請問你的作業系統版本是?99F 05/13 11:24
megxz: 請問一下,執行完後 http://i.imgur.com/4oxz2aY.png100F 05/13 11:25
[圖]
 
ariawind: 回imasa win7 我剛剛有把smb1設成數值0101F 05/13 11:25
Autumn06513: 跟樓上一樣WIN7但執行檔案會出現停止運作QQ102F 05/13 11:30
megxz: 這樣是有關掉嗎?103F 05/13 11:32
gemini2010: 請問 http://i.imgur.com/4oxz2aY.png 代表沒有病毒潛104F 05/13 11:32
[圖]
 
gemini2010: 服且有關掉SMBv1嗎? 還是只代表有關掉SMBv1?105F 05/13 11:32
eyeonme: 開啟錯誤 如圖 http://imgur.com/a/ZF8Yx 請問怎麼辦?106F 05/13 11:33
[圖]
 
Adven: @gemini2010,有readme.txt可以看喔107F 05/13 11:34
lovejamwu: 我是win7完了我都沒在更新....108F 05/13 11:37
MiharuHubby: 我也是開啟錯誤,路徑都英文109F 05/13 11:37
eyeonme: 自己回自己 以解決 我原本的使用者名稱是中文 後來新增一110F 05/13 11:38
Shichimiya: 我也開啟錯誤 路徑都英文111F 05/13 11:38
eyeonme: 個英文的使用者後 登入就可以成功檢測112F 05/13 11:38
ToujouAya: 有沒有人願意教第一個連結下載後怎麼使用QQ113F 05/13 11:41
Shichimiya: 喔喔 用樓樓上的方法成功了 感謝114F 05/13 11:42
imasa: 原來是中文使用者,感謝補充115F 05/13 11:43
ariawind: imasa 我使用者帳戶改成英文也不能耶,要重開?116F 05/13 11:43
Shadow5566: 請問一下,如果win7有更新 ,而且用i大的程式包掃過也117F 05/13 11:43
laechan: 我xp,第二個連結下載後解壓縮,資料夾名我直接改123,放到118F 05/13 11:43
Shadow5566: 顯示(尚未被攻擊或已裝kb)這圖的內容,那還需要去關119F 05/13 11:43
Shadow5566: 閉SMBv1這服務嗎?
laechan: C:\底下,再對執行檔按右鍵選新增捷徑,然後改捷徑執行為121F 05/13 11:44
laechan: C:\123\detect_doublepulsar_smb.exe --ip xxx.xxx.xxx.x
laechan: 這樣直接點捷徑就會執行了,剛掃描完 safe, 感謝原po
laechan: XP使用者可以開防火牆,到[例外]那邊,把vnc,遠端相關的取
laechan: 消打勾,我的電腦按右鍵選內容,點[遠端],那邊也取消打勾
zaq1qwer: 請問 我已經中招了 我進入安全模式 把有wana的檔案都刪126F 05/13 11:49
zaq1qwer: 之後還是可以繼續用這顆硬碟嗎? (非系統碟) 謝謝回答~
eelse: 感謝,測試完畢正常128F 05/13 11:51
r1426000000: 想請教大家,我已經新增了,但檢測程式跑完沒有出現129F 05/13 11:53
r1426000000: 關閉的字樣
geken: 感謝131F 05/13 11:54
r1426000000: 我的路徑也都是英文,到底是哪個環節出了問題呢132F 05/13 11:54
laechan: 你系統是什麼?133F 05/13 11:56
r1426000000: Win7!134F 05/13 11:56
r1426000000:  http://i.imgur.com/ZQfZY70.jpg
[圖]
 
[圖]
 
laechan: 你這樣就是掃完了吧,第二張圖137F 05/13 11:58
imasa: 名字錯了,是SMB1138F 05/13 11:58
[圖]
 
r1426000000: 已更正,重開機試試看140F 05/13 12:00
minihyde: 在LanmanServer中的Parameters新增DWORD才能關閉141F 05/13 12:00
r1426000000: 好!!我終於找到問題了...謝謝各位142F 05/13 12:01
r1426000000: 感激不盡...
UppityuniQue: 我是Win7,按任意鍵繼續後視窗就關掉了,請問是什麼144F 05/13 12:02
UppityuniQue: 原因呢?
r1426000000: 謝謝大家,成功關掉了146F 05/13 12:05
Leaves1014: SMB1 已設定  但是用 netstat 依舊是 listening147F 05/13 12:12
Leaves1014: 只要用程式掃 ok 就沒關係嗎?
skvis: 按任意鍵本來就會關掉 你要看上面那排英文寫什麼149F 05/13 12:18
a47135: 請問訊息是No presence of DOUBLEPULSAR SMB implant代表150F 05/13 12:19
a47135: 就不會中這個勒索病毒了嗎?
skvis: 是顯示尚未被攻擊152F 05/13 12:21
a47135: 因為本篇是說尚未被攻擊或是已安裝更新,好像沒辦法分出來153F 05/13 12:22
a47135: 到底是已經安裝更新不怕惹還是還沒被攻擊
joeylord: windows 10不用測 https://goo.gl/uXs1AV155F 05/13 12:23
新型勒索病毒WannaCry重創台灣!中毒了怎麼辦?如何預防? - 蘋果仁 - 最專業的蘋果科技媒體
[圖]
[圖]
一款新型的勒索病毒 WannaCry(WanaCrypt0r 2.0)最近以極快的速度擴散,全球許多國家包括歐… ...

 
bks9587: 請問我可以開啟但按了任意鍵繼續後就直接消失是什麼問題?156F 05/13 12:24
Leaves1014: 表示程式已跑完  要看「任意鍵繼續」上一行英文內容157F 05/13 12:25
a47135: 任意鍵繼續就是表示跑完了阿....任意鍵按下去自然會關閉158F 05/13 12:26
※ 編輯: imasa (114.42.160.182), 05/13/2017 12:28:18
imasa: 修正中文路徑問題,應該可以用中文了,中文使用者再確認159F 05/13 12:29
imasa: https://goo.gl/kfNh5a 下載連結短網址
dd614: win8跑一下就跳到掉正常嗎?161F 05/13 12:29
hsr7016: http://i.imgur.com/HDLiOhB.png 全英文路徑 WIN8.1162F 05/13 12:30
[圖]
 
hsr7016: 一開啟就當掉了163F 05/13 12:30
imasa: 樓上請下載新版本試試164F 05/13 12:31
UppityuniQue: 感謝a大回我,原來是我自己耍笨了...165F 05/13 12:34
tab222777: 所以XP顯示refused SMBv1是代表還沒被攻擊和潛伏嗎?166F 05/13 12:35
hsr7016: 可以執行了 但跳出closed SWBv1的提示的話要再重開在測?167F 05/13 12:36
ggoutoutder: 問一下 我沒辦法更新怎麼辦 他一直在檢查更新168F 05/13 12:40
yizhe: 沒有"尚未被攻擊或已裝KB"提示,只有"SMB關閉"提示就好嗎?169F 05/13 12:40
cbstgb: 感謝版大跟推文大大教學 終於成功了170F 05/13 12:43
log65320: 推171F 05/13 12:44
ericthree: 推推172F 05/13 12:49
thbw666: 感謝原po173F 05/13 12:50
a410046: 太感謝了174F 05/13 12:52
lovecoffee: 我是win8.1  也是一開馬上跳掉   我剛剛12點47分下載175F 05/13 12:58
lovecoffee: 的QQ   路徑全英文
imasa: 樓上你這個是其他問題  我正在想辦法解決177F 05/13 12:59
argoth: SHA1是不是有變動過了?178F 05/13 13:01
a47135: 想請問一下原PO,尚未被攻擊和已安裝KB更新都是同樣訊息179F 05/13 13:01
a47135: 還是說如果沒裝KB(漏洞還是存在)但是尚未被攻擊的情況下
a47135: 會有其他訊息提示?
ss910126: 請問,我只有顯示NO PRESENCE那行並沒有顯示已經關閉182F 05/13 13:03
ss910126: SMBV1 我已經照原PO上一篇的方式操作過了
Hajimi: 感謝大神,推推!184F 05/13 13:04
lovecoffee: 我趁他消失前截圖下來186F 05/13 13:05
lovecoffee: 請問這是哪邊錯誤呢  感謝
lovecoffee: 我才看到原po回覆,謝謝您,再麻煩了  QQ
LT26i: win7 應該成功關閉SMB1了  http://i.imgur.com/4IAlvS2.jpg189F 05/13 13:06
[圖]
 
LT26i: 感恩!!!190F 05/13 13:06
ss910126: 我已經解決了,再次感謝原PO191F 05/13 13:07
ss910126: 各位要注意把機碼名稱 SMB1
ss910126: 注意機碼名稱改成SMB1194F 05/13 13:08
moneypack3: 解壓縮檔案大小不符耶,是我下載錯了嗎195F 05/13 13:08
milddawn: SHA1 改成這個了?196F 05/13 13:08
OOQ: 檢測完成 感謝197F 05/13 13:11
zelkova: 請問安裝windows更新之後還需要裝這個嗎?198F 05/13 13:12
imasa: @milddawn 改了,請對照readme文件內的SHA1199F 05/13 13:13
HowardxApple: 淚推 你專業200F 05/13 13:14
n12052233g: win8.1一開就自動關掉視窗 怎麼辦呢201F 05/13 13:23
milddawn: 謝!202F 05/13 13:31
LightEcho: 不好意思請問一下 這樣SMB有關掉了嗎?(win7)203F 05/13 13:31
LightEcho: http://i.imgur.com/GoH9mCP.jpg
luminous214: 可是我的vista一直無法更新 ,都停在0不會動 …只能205F 05/13 13:35
luminous214: 這幾天先別開機orz
imasa: @LightEcho 對、改好記得重開機207F 05/13 13:36
revolute: 推熱血208F 05/13 13:44
LightEcho: 那有不用連網就能檢查電腦是否有病毒的辦法嗎?209F 05/13 13:48
LightEcho: 很害怕一連網就中標(已經更新到五月版本 5/12更新)
LightEcho: 不好意思麻煩您了
newage5566: 中文名稱版本可執行,檢查已關閉SMB1,謝謝原PO212F 05/13 13:50
chi12345678: 已改QQ感謝213F 05/13 13:57
GhriS: 記得win10也有這漏洞 但好像沒更新也不會中?214F 05/13 13:59
ashkaze: 請問我是先手動關閉SMB再下載偵測程式檢查,如果也是出現215F 05/13 13:59
ashkaze: 已關閉訊息代表目前機器無漏洞是不是?
Yakiko: 感謝 掃完顯示已關閉SMBv1217F 05/13 14:09
abram:  感謝 把路由器445 port關閉 確實就顯示已經關閉SMB了218F 05/13 14:21
lynked: mega下載來的檔案SH1跟原po提供的不符耶??219F 05/13 14:30
Dkky: File SHA1: 7D4F81F475A96BD28403F6F2E76C054DA62A1C3E220F 05/13 14:32
※ 編輯: imasa (114.42.160.182), 05/13/2017 14:33:46
imasa: 抱歉是我文章沒更新到  你貼的這SHA1是正確的221F 05/13 14:34
Dkky: readme檔案裡面寫的222F 05/13 14:35
powerg5: 我從MEGA下載的檔案其SHA1和dkky提供的不同223F 05/13 14:36
powerg5: http://i.imgur.com/VjshGmC.png
[圖]
 
powerg5: 壓縮檔的內容難道有再改動過嗎?225F 05/13 14:37
Dkky: 解壓縮後的exe檔 SHA才是我貼的那一串226F 05/13 14:40
imasa: @powerg5 你這是壓縮檔的SHA1,我寫的是裡面執行檔的227F 05/13 14:42
wsx26997785: 如果顯示潛伏期 該怎麼解決?228F 05/13 14:42
yao7174: win8.1 下載顯示11點半左右更新的還是會直接跳掉耶229F 05/13 14:46
wade520: 關掉SMB還需要更新嗎??230F 05/13 14:47
beckyH: 請問是先關掉SMB1然後下載偵測之後再更新嗎?445port也要231F 05/13 14:56
ariawind: 感謝imasa大,新版已可以使用 已關閉 SMBv1協定232F 05/13 14:56
ariawind: 想問一下之後還需要打開他嗎?
beckyH: 關嗎?~~234F 05/13 14:56
imasa: @wade520 關掉SMBv1只是救急,還是請盡快更新235F 05/13 15:02
imasa: @ariawind 不用開了  那是老舊的東西
aaa89025: 問一下蠢問題,關閉SMB後中華電信的小烏龜wifi會受到影237F 05/13 15:05
aaa89025: 響嗎.謝謝
andy0526: 顯示 No presence of DOUBLEPULSAR SMB implant就OK了?239F 05/13 15:07
andy0526: 不懂SMBv1協定?
Phaeton: 謝謝imasa,但是想請問現在win7 執行是關掉SMBv1而已,這241F 05/13 15:14
Phaeton: 樣就可以? win10的兩台電腦 是都正常更新 就說不用檢查
Phaeton: 非常謝謝原po教學
wade520: 感謝imasa解答244F 05/13 15:17
rininan: 很久沒用電腦了躲過一劫,感謝原po教學245F 05/13 15:18
Duncan0722: 不好意思想請問一下樓主,如果我中毒前有將部分檔案246F 05/13 15:23
Duncan0722: 放入手機裡面,之後我電腦重灌win10,手機再插入電腦
Duncan0722: 後,電腦還有可能因為手機裡面以前的檔案而再次中毒
Duncan0722: 嗎,手機裡面的檔案也會被影響到嗎,謝謝您
miaomiao35: 感謝大神相助 大神一生平安!250F 05/13 15:28
confri427: 照原PO的方法關SMB 但是偵測程式還是跳尚未被攻擊那行?251F 05/13 15:30
semih: 請問xp已關掉SMBv1和已下載更新KB4012598 偵測出來只顯示關252F 05/13 15:32
semih: SMBv1 但沒顯示No presence of DOUBLEPULSAR SMB implant
semih: 請問這是哪邊沒注意到 ?
miaomiao35: 顯示關掉SMB1就是安全了吧?255F 05/13 15:35
horseorange: 推256F 05/13 15:40
icemc: semih 我跟你一樣沒顯示那行 不過上網站測已經安全了257F 05/13 15:50
Usecase: 請問如果是windows server 2012 r2,有辦法執行這支檢測258F 05/13 15:56
Usecase: 程式嗎?謝謝
willix83: 載點掛了!?260F 05/13 15:58
link5566: 載點掛了 有人能補嗎?261F 05/13 16:01
Wall62: icemc大請問你是上什麼網站測的262F 05/13 16:01
imasa: 我剛才在更新程式,不好意思 馬上補載點263F 05/13 16:14
※ 編輯: imasa (114.42.160.182), 05/13/2017 16:15:28
idfpigeon: 他跑完會自己關掉欸 還來不及看到訊息QQ264F 05/13 16:18
imasa: 請問樓上的windows版本是?265F 05/13 16:20
icemc: 20593那篇裡提到的 https://doublepulsar.below0day.com/266F 05/13 16:21
DOUBLEPULSAR Scanning Service By Below0Day
Scan a IP to see if it is compromised by DOUBLEPULSAR ...

 
hornybaron: 推一個 正在做預防工作 非常謝謝你分享的內容267F 05/13 16:21
ABC0000: 我的win7 跑完也會直接關掉268F 05/13 16:22
lovelylion2: http://i.imgur.com/MMfxT0A.png  TypeError269F 05/13 16:23
[圖]
 
n12052233g: I大 我的也會 我開起來後視窗自動關掉 我是win8.1270F 05/13 16:23
Sallina: 我的win7跑完也是很快關掉271F 05/13 16:23
infi23: 我也被關掉了QQ272F 05/13 16:24
gary78123: Win7跑完會自己關掉273F 05/13 16:25
hornybaron: 剛剛抓完 Win7 跟樓上一樣跑完直接關掉來不及看QQ274F 05/13 16:26
jedisteven: 我的win7跑完也是很快關掉 看不到訊息QQ275F 05/13 16:27
[圖]
 
JieshinRS: 這樣是什麼意思QAQ277F 05/13 16:27
Livia222: 也是來不及看到訊息,就自動關閉了。278F 05/13 16:28
warrigal: 推熱心的高手 請問假如後來才把smb關掉 可是之前就中毒279F 05/13 16:28
warrigal:  會顯示什麼呢
idfpigeon: 我的是win 7 旗艦山寨板281F 05/13 16:30
roveralex: 感謝分享282F 05/13 16:30
imasa: @JieshinRS 那是debug用的訊息 可以不管他283F 05/13 16:31
Wall62: iceme大感謝284F 05/13 16:31
JieshinRS: 所以這樣是有關掉ok的嗎 還是有中毒……不好意思我是電285F 05/13 16:32
JieshinRS: 腦白痴QAQ
lkj12tw: win7跑完自己關掉+1287F 05/13 16:32
noise5566: 感謝你288F 05/13 16:33
sid19881025: 感謝大大..真的感謝大大289F 05/13 16:34
[圖]
 
ESC5566: 有用有推!!291F 05/13 16:42
iamdavidga: 先手動關了再來跑 都直接跳掉 好不容易有截圖到292F 05/13 16:42
Sallina: 請問能放回前面那一版的測試程式嗎?這一版的跑完會跳掉293F 05/13 16:44
catchco: win7 跳掉+1294F 05/13 16:45
peter840606: 請問跳出This machine has already close SMBv1....295F 05/13 16:48
peter840606: 是只代表關閉了協議 還是同時代表關閉協議和沒中毒
[圖]
 
Backmann: TypeError是指><?298F 05/13 16:50
vester: 一直更新失敗,何解?299F 05/13 16:53
alyh: 有做更新 跑程式有顯示找到最新的KB更新 但跟上面一些板友300F 05/13 16:54
※ 編輯: imasa (114.42.160.182), 05/13/2017 16:56:24
alyh: 貼的圖一樣 下面顯示TypeError 然後跑完秒關 >"<301F 05/13 16:54
imasa: TypeError應該已經修復了,請重新下載新版302F 05/13 16:57
c309023: 謝謝大大,可以安心了303F 05/13 16:57
olelehas: 謝謝原PO,辛苦了304F 05/13 16:58
peter840606: @imasa 那請問跳出已經關閉協議也同時代表沒中毒嗎?305F 05/13 16:58
alyh: 謝謝原PO 辛苦你了 檢查完畢沒有問題~306F 05/13 17:02
mapledog: 感謝I大 新版成功跑完未檢測出 真的辛苦你了!!307F 05/13 17:04
Backmann: 感謝i大!新版顯示SMB1已關閉!太開心了!308F 05/13 17:08
iamdavidga: 感謝I大 真心感謝您 QQ309F 05/13 17:10
maydayue: 謝謝i大,不過我跑出來只顯示SMBv1已關和找到KB4019264310F 05/13 17:16
maydayue: 沒有顯示有沒有被攻擊
omanorboyo: win7點完就跳掉怎辦?312F 05/13 17:18
alyh: 樓上是載到舊版嗎? 剛剛更新過的版本應該不會跳掉了 @@313F 05/13 17:19
pths313: 用了104版還是會跳掉呢314F 05/13 17:20
happysunny: 請問關閉這個會影響到什麼功能呢? 想知道自己平常會315F 05/13 17:23
happysunny: 不會用到
omanorboyo: 有了104版本可行 感謝大大317F 05/13 17:29
iSad56: 求救 win7點完就跳掉https://goo.gl/cukAcj (影片)318F 05/13 17:31
[此連結已被禁止顯示]
VID_20170513_163026.mp4 ...

 
tsaumond: 請問一下有顯示KB4xxxxxx found是否就是代表漏洞已補好?319F 05/13 17:31
ERQQ: win7跳掉 +1320F 05/13 17:31
imasa: 你們請先下載新版試試看,看影片你像是用舊版本的321F 05/13 17:35
imasa: @happysunny 關閉SMBv1 windows應該會去用SMBv2
Adven: 感謝更新版本323F 05/13 17:37
catchco: 請問跑完是顯示already"refused" SMBv1...是一樣的意思嗎324F 05/13 17:39
SeTeVen: 請問win8怎麼辦QQ325F 05/13 17:40
higuma47: 請問win7執行後跳出UnicodeEncodeError怎麼辦QQ,有確定326F 05/13 17:44
higuma47: 是用104版本,檔案路徑也確定只有英文…
higuma47: 這是錯誤訊息的截圖 http://i.imgur.com/3UxJlZa.jpg
[圖]
 
lovecoffee: 請問更新版本是?  我今天12點47分下載的   一樣是開329F 05/13 17:46
lovecoffee: 了馬上跳掉@@
SpaghettI101: 請問一下win7用104版一樣閃退,附上閃退瞬間截圖:331F 05/13 17:48
SpaghettI101: http://i.imgur.com/fR09RCl.jpg
[圖]
 
alyh: @love 剛剛下午16:56有最新版本更新喔 重載看看吧333F 05/13 17:49
lovecoffee: 好的  感謝您334F 05/13 17:51
pths313: 跟SpaghettI101很類似的情況閃退~win7是32位元的335F 05/13 17:56
pths313: 阿~跟higuma47的相同才是~完全一樣的內容
iSad56: https://goo.gl/UOBMON (104版任意鍵後跳出)337F 05/13 17:58
[此連結已被禁止顯示]
EternalBlueDetector104.mp4 ...

 
iSad56: 再拜託大大338F 05/13 17:59
alyh: 樓上你的影片就不能放個安全點的地方 像是YOUTUBE嗎? =_=339F 05/13 18:04
OSAME: I大 新版1.04反而XP 32位元會錯誤 原本1.01正常340F 05/13 18:04
jerrywalker: 請問更新完還要打開SMBv1嗎? 已確定關掉和安裝更新了341F 05/13 18:09
acro72: XP執行出現AttributError的訊息 http://imgur.com/a/3XEb2342F 05/13 18:11
[圖]
 
iSad56: https://youtu.be/KEbEYMbEgug 抱歉 重傳了343F 05/13 18:14
iSad56: (104版任意鍵後跳出) (youtube重傳)344F 05/13 18:14
OSAME: XP我用101版沒問題 我剛剛刻意試兩個版本345F 05/13 18:15
imasa: @iSad56 這樣的運作方式是正常的 我沒看到什麼錯誤?346F 05/13 18:18
imasa: @OSAME 因為101還不會掃描XP的KB
※ 編輯: imasa (114.42.160.182), 05/13/2017 18:23:04
lovecoffee: 有成功了  再下載一次就可以了!感謝348F 05/13 18:23
imasa: 已更新1.05連結、發生問題的人請下載新版試試看349F 05/13 18:23
lovecoffee: 以前我也是都不安裝更新的,最近兩年買新電腦才開始350F 05/13 18:24
lovecoffee: 讓它更新,只要是重要更新,更下去就是了QQ
iSad56: 但是我沒有看到No presence of DOUBLEPULSAR SMB implant352F 05/13 18:26
zxcv820421: 問一下  點大大提供的打包程式  直接是顯示說353F 05/13 18:26
zxcv820421: This machine has already closed SMBv1 protocol
zxcv820421: 這樣是成功了嗎?
jpfly: 請問1.05版是否可以增加mega以外的載點?>人<356F 05/13 18:26
iSad56: 或是任何其他的結果 它就直接關掉了呢@@ 是正常的嗎357F 05/13 18:26
zxcv820421: 沒有跑出No presence of DOUBLEPULSAR SMB implant358F 05/13 18:26
flywan: 剛下載新版跑完立刻消失 http://imgur.com/a/0yl4W359F 05/13 18:29
flywan: 這樣是ok嗎?360F 05/13 18:30
wunno: 請問若偵測被攻擊成功 但似乎還沒有檔案被加密(?) 那這時361F 05/13 18:30
lovecoffee: 我成功的是104版本362F 05/13 18:30
wunno: 才開始關SMB1 安裝更新檔來的及嗎? 或是直接重灌了? 謝謝363F 05/13 18:31
duringtime: 1.05 XP檢測成功....1.04 掃KB會閃退364F 05/13 18:34
imasa: @flywan 有1.05了喔,請改用1.05試試看365F 05/13 18:38
※ 編輯: imasa (114.42.160.182), 05/13/2017 18:39:07
imasa: 備用載點https://www.mediafire.com/?kiocmycua82heng366F 05/13 18:39
EternalBlueDetector105
[圖]
EternalBlueDetector105.zip ...

 
DaringDo: XP要怎麼執行?@@367F 05/13 18:40
ShiinaMayuri: 請問 先關SMBv1 再做偵測 這順序對嗎???368F 05/13 18:41
imasa: 可以369F 05/13 18:43
imasa: @DaringDo 要打開命令列,開始->執行->輸入cmd
acro72: 感謝~新版的在xp可以正常檢測了~371F 05/13 18:44
kaorucyc: 1.05執行成功372F 05/13 18:45
DaringDo: 喔喔 我抓的是1.04373F 05/13 18:46
aa82732664: 如果用大大的程式沒被攻擊會顯示什麼出來呢374F 05/13 18:46
iSad56: 105版跟104版狀況一樣 任意鍵後跳出 沒看到結果375F 05/13 18:47
iSad56: 再麻煩大大幫忙
DaringDo: 喔 我會了.. 感謝回答@@377F 05/13 18:52
qwertasdfgh: 執行前請確認檔案有無被偷改過,請問要怎麼確認呀?378F 05/13 18:52
imasa: @iSad56 從你的影片來看  你的SMBv1已經關掉了379F 05/13 18:52
flywan: 1.05版跟zxcv82大的狀況一樣  不過目前沒看到檔案加密380F 05/13 18:53
flywan: 幸好5月初有跑安全性更好
ez2dancer: 推,想請問如果Win7已經安裝過微軟修補檔,還需要再382F 05/13 19:02
ez2dancer: 防火牆關閉Port445嗎?那SMBv1服務呢?
noitcidda: 1.05成功 感謝大大384F 05/13 19:04
ShiinaMayuri: http://i.imgur.com/NfqDBFc.jpg 這樣是safe?385F 05/13 19:05
[圖]
 
imasa: 暫時safe, 請盡快安裝更新386F 05/13 19:06
[圖]
 
qwertasdfgh: 請問I大,看我的狀況應該是沒問題,可是怎麼還有安裝388F 05/13 19:08
qwertasdfgh: 還有安裝MS17-010,請問這樣是安全的嗎?
schiffer: 推推!390F 05/13 19:10
sx366: 感激不盡391F 05/13 19:16
alyh: @qwert 那是說你的電腦已經有把這個漏洞補起來了392F 05/13 19:19
qwertasdfgh: 原來如此,謝謝A大說明393F 05/13 19:22
rean5566: http://imgur.com/a/Fe8uk 這樣應該就是好的吧0.0394F 05/13 19:22
[圖]
 
cy4750: http://i.imgur.com/D0tExJS.jpg 請問XP出現這個如何解決?395F 05/13 19:24
[圖]
 
zxcv820421: 我是成功了  可是電腦下載更新包說不適用更新...396F 05/13 19:25
imasa: @cy4750 打開命令列,開始->執行->輸入cmd然後輸入提示指令397F 05/13 19:26
imasa: @qwertasdfgh 提示你已經有安裝了  這是安全的
cccmar: 推推,感謝大大協助!!! 希望大家電腦資料都安全~399F 05/13 19:28
imasa: @ez2dancer SMBv1已經過時  可以不需要了 現在都v2以上400F 05/13 19:28
lovecoffee: 出現這樣 但是沒有顯示 has already installed ms17-402F 05/13 19:30
lovecoffee: 010
lovecoffee: 這樣也是ok的嗎?
imasa: @lovecoffee 少加個判斷而已 我1.05已經加了405F 05/13 19:34
cy4750: 我輸入那串+ip之後 顯示"不是內部或外部命令 可執行的程式406F 05/13 19:35
victoryss: thanks 沒更新 但是檢查安全 呼呼  我可愛ㄉA片407F 05/13 19:35
lovecoffee: OK 好的  非常感謝您  !!408F 05/13 19:35
cy4750: 或批次檔"  這樣代表我少打了什麼嗎??409F 05/13 19:35
qwertasdfgh: 十分謝謝I大410F 05/13 19:38
imasa: @cy4750 你應該是執行錯指令了、上個圖看看你輸入什麼吧411F 05/13 19:42
cy4750: detect_doublepulsar_smb.exe --IP  這樣??412F 05/13 19:44
imasa: 你還要找出你的IP,可以輸入ipconfig去找413F 05/13 19:45
lovecoffee: 這系列文很棒,有沒有版友做個總整理!?  非常感謝i414F 05/13 19:46
lovecoffee: 大及p大  以及推文中熱心的版友:)
cy4750: 有 我有找到IP了 我輸入的就是這串 後面是我查到的IP這樣416F 05/13 19:46
imasa: 那你大概是目錄錯了...要到執行檔的目錄去執行喔417F 05/13 19:48
[圖]
 
hl571536xz: 我已經裝了更新檔,但仍顯示未安裝,這樣會有問題嗎?419F 05/13 19:48
imasa: @hl571536xz有可能是安裝時寫key的路徑我沒掃描到420F 05/13 19:50
imasa: 如果可以的話 輸入regedit->按F3->輸入KBID 看看他出現在哪
min0502: AAAAAAAAAAAAAAAAAAAAAAAAAA422F 05/13 19:52
cy4750: http://i.imgur.com/i9NCdcs.jpg 換路徑之後顯示這樣423F 05/13 19:56
[圖]
 
cy4750: 請問這樣代表???謝謝回應424F 05/13 19:56
cy4750: XP已經有裝那個更新檔了 但是沒有關SMB 想先測看看
cy4750: 請問裝完更新之後還要去關SMB嗎
hl571536xz: http://i.imgur.com/gtZPdXx.png 是像這樣嗎?427F 05/13 19:58
[圖]
 
looscfor: 請問顯示目前未被攻擊,但偵測程式說我未安裝更新,可是428F 05/13 19:59
looscfor: 我看控制台更新記錄已經安裝完成了,這樣該怎麼處理呢?
looscfor: 謝謝
min0502: i大 不好意思 剛剛確認電腦沒事後就開著電腦放著睡著了431F 05/13 20:01
min0502:  基於果
cmid05: 推433F 05/13 20:03
imasa: @hl571536xz 是的,能麻煩你把所有有關的路徑都找給我嗎?434F 05/13 20:04
min0502: 小貓亂踩誤發推文 真的很不好意思435F 05/13 20:06
ShiinaMayuri: XD  貓圖ㄋ?436F 05/13 20:10
※ 編輯: imasa (114.42.160.182), 05/13/2017 20:14:22
hl571536xz: 有辦法將相關路徑一次匯出嗎?這路徑還挺多的XD437F 05/13 20:16
imasa: 可能沒辦法 你找HKLKM和CUEERNT_USER底下的路徑給我就好438F 05/13 20:19
zero75559851: 推439F 05/13 20:21
mkflyk23: XP可試試上面laechan大推文的方法:執行檔右鍵>建立捷徑440F 05/13 20:26
mkflyk23: 捷徑右鍵>內容,目標>後面加上 --ip xxx.xxx.xxx.x
mkflyk23: http://i.imgur.com/KgMuHxw.jpg
[圖]
 
mkflyk23: 完成後確定,再去點該捷徑就可執行443F 05/13 20:26
mkflyk23: http://i.imgur.com/BJRakVY.jpg
[圖]
 
hl571536xz: 我弄成txt丟到google雲端了,看看是不是你需要的445F 05/13 20:28
hl571536xz: https://goo.gl/ijI4f1
popeks1331: 推XP使用方法!! 成功確認沒問題!感恩447F 05/13 20:37
lolicone: 謝謝  執行中448F 05/13 20:38
cy4750: mkflyk23: 他不讓我加那串http://i.imgur.com/qQncRYR.jpg449F 05/13 20:39
[圖]
 
semih: 感謝 但xp我用捷徑的方式會閃退 只好打cmd手動輸入ip就ok了450F 05/13 20:39
semih: 樓上 detect_doublepulsar_smb.exe --ip 很像空一格才行
mkflyk23: --ip 前後都要空一格452F 05/13 20:47
bill0205: 我顯示這樣..http://i.imgur.com/fLWMAbc.jpg453F 05/13 20:47
[圖]
 
bill0205: 第二行是?454F 05/13 20:48
lovecoffee: 樓上這樣就是ok沒問題囉455F 05/13 20:50
bill0205: 感謝456F 05/13 20:51
akiraonlyone: 感謝i大,順利跑完程式確認沒問題了457F 05/13 20:53
lovecoffee: 但都是暫時擋下這一波QQ  還是得乖乖更新系統458F 05/13 20:56
arichage: 有用有推!感謝提供!!459F 05/13 20:58
[圖]
 
fayered: 請問如果我顯示這樣是安全的嗎461F 05/13 21:03
lovecoffee: 大大你的跟bill大是一樣的462F 05/13 21:05
saiulbb: 謝謝分享 上了一課463F 05/13 21:07
salang: 我是無法下載改寫後的版本 他說ERRRO... 請問如何處理QQ464F 05/13 21:07
salang: 我的是WIN7
fayered: 可是我的沒顯示No presence of DOUBLEPULSAR SMBimplant466F 05/13 21:08
fayered: 超抖的
lovecoffee: 因為你先關了smb才跑程式對嗎468F 05/13 21:16
lovecoffee: 我關之前跑過一次,也是這樣結果哦
CuteGG: 請問下載完,點程式兩下,等他跑訊息跑出470F 05/13 21:17
CuteGG: No presence of DOUBLEPULSAR SMB implant
PTTakatsuki: 請問imasa大,系統win8測試之後是如下的畫面472F 05/13 21:19
CuteGG: 訊息裡面有看到這段字就是目前安全嗎473F 05/13 21:19
fayered: 所以我要打開再跑嗎474F 05/13 21:22
chired: 想請問一下 如果已經離線更新 登錄檔SMB1(0)要刪掉嗎?475F 05/13 21:24
[圖]
 
lovecoffee: f大,應該不用 已經顯示KB4012216 found  洞已經被堵477F 05/13 21:30
lovecoffee: 住,請問imasa大,是這樣對嗎?
ricky88052: 感謝大神479F 05/13 21:31
kay00503: 請問也有人裝了KB4019264  但是偵測說沒裝的嗎480F 05/13 21:31
lgng66133: no481F 05/13 21:35
lgng66133: 沒有顯示No presence of DOUBLEPULSAR SMBimplant的話
lgng66133: 是要再把smb開起來跑一次程式嗎
hoij79627: 感謝484F 05/13 21:43
kay00503: http://imgur.com/RzpkPaC485F 05/13 21:45
[圖]
 
snosaes5566: 搞定惹!感謝imasa大大486F 05/13 21:46
juunuon: win7 旗艦64用1.05閃退 http://ingur.com/aWRprAQ.png487F 05/13 21:52
juunuon:  http://imgur.com/aWRprAQ.png
[圖]
 
※ 編輯: imasa (114.42.160.182), 05/13/2017 22:11:32
imasa: KB4019264的安裝方式用的是CPS安裝  這條路我沒有偵測到489F 05/13 22:21
imasa: 晚點補上
LightEcho: 推 謝謝這篇的幫助 雖然我還是不敢連線來偵測潛伏病毒491F 05/13 22:23
SnowTrance: your system is already installed MS17-010 什麼意思492F 05/13 22:31
CuteGG: 用那個檢查程式要連網路嗎?493F 05/13 22:32
sl910654:  真的是一邊流淚一邊推 太感謝494F 05/13 22:45
LightEcho: 不是要先下載下來嗎?495F 05/13 22:46
skts: 兩個檔案均被修改過,請作者重新確認,謝謝(File SHA1不符)496F 05/13 23:26
koheik2: 閃一秒就關了win7啥都沒顯示???497F 05/13 23:29
[圖]
 
werlight: 有安裝更新但好像無法執行偵測499F 05/13 23:36
zincs: 感謝!!!500F 05/13 23:36
kitoik5427: 感謝!! 幸好自己還沒中標 但一直沒辦法成功更新.....501F 05/14 00:18
s60609s: 請問各位 我從去年三月中後更新都失敗 剛手動載了4019264502F 05/14 00:22
s60609s: 也成功安裝了4019264 但前面更新還是失敗 這樣安全嗎?
lolicone: 這樣有裝成功 只要有其中一個就行了504F 05/14 00:28
s60609s: 感謝505F 05/14 00:29
heycircle: 必須推506F 05/14 00:39
XDylan: 感謝507F 05/14 00:44
wayhowhown: 真心感謝大大508F 05/14 00:48
kitoik5427: 不好意思 請教一下 剛剛成功啟動後關閉509F 05/14 00:59
kitoik5427: 想要放到其他資料夾裡 卻跳出無法完成動作
kitoik5427: 資料夾裡的檔案已在其他程式開啟 ???
kitoik5427: 但我明明確認資料夾和執行檔都關閉了阿
evanabc: test513F 05/14 01:03
kitoik5427: 難道是程式只是畫面關閉 其實還在執行嗎514F 05/14 01:03
kitoik5427: 請問有什麼辦法可以檢查嗎
hotisaac: 請問 顯示這樣http://i.imgur.com/A7HtjZz.jpg是安全的?516F 05/14 01:03
[圖]
 
hotisaac: 先謝謝,小弟是電腦白痴  請有經驗的幫解答517F 05/14 01:04
Ladizman: 是的518F 05/14 01:07
hotisaac: 謝謝樓上 也謝謝原po519F 05/14 01:27
LightEcho: 1.05版本也能一併檢查是否被病毒入侵潛伏嗎?520F 05/14 01:28
LightEcho: 先謝謝大大了
azuresmile: 請問SHA1要從哪裡看呢?522F 05/14 01:55
mjmj0316: 我剛剛看了一下大小好像不太對?523F 05/14 01:59
crazycy: 不考慮開個源嗎XD 直接丟exe有些人會怕吧524F 05/14 02:01
imasa: 大小請看實際大小不是磁碟大小喔525F 05/14 02:05
imasa: SHA1看的是裡面執行檔 不是壓縮檔本身喔
imasa: 謝謝、有考慮要開源、但目前會先等code穩定下來再考慮這事
stacy62123: http://i.imgur.com/HusC6Ia.jpg 不好意思,win8出現528F 05/14 02:28
stacy62123: 這個後閃退,請問有什麼方法嗎QAQ?感恩原po529F 05/14 02:28
mjmj0316: 感謝大大回覆。已檢測完成 真心感謝530F 05/14 02:28
※ 編輯: imasa (114.42.160.182), 05/14/2017 03:03:16
imasa: 1.06放上去了,執行上有問題的人可以下載看看問題解決了沒531F 05/14 03:04
nanht: 謝謝i大的熱心,感激不盡!532F 05/14 03:05
taihsin: 謝謝大大 已關閉 已檢測533F 05/14 03:08
maxipin: http://imgur.com/a/3KOCi V-1.06,為何有EXCEPTION啊? @@534F 05/14 04:19
[圖]
 
maxipin: 另外,英文內文只有說,我有阻擋了SMVB1也有更新了535F 05/14 04:23
maxipin: 但是沒有說明最重要的DOUBLEPULSAR SMB implant啊? Orz
yamasaki07: 計算出來的SHA1跟文章裡的不一樣,是檔案被修改嗎537F 05/14 07:40
as55721: http://i.imgur.com/QbFDJdR.jpg 請問我顯示的是這樣 ,538F 05/14 08:14
[圖]
 
as55721: 我看不太懂 ,可以幫我解釋嗎 ?先謝謝幫忙解釋的那位539F 05/14 08:14
ying8375: 求救...Win7開起來 跑個2秒 視窗就不見了 什麼都沒看到540F 05/14 08:59
imasa: @maxipin 如果程式送的SMB requert被你的電腦擋下來541F 05/14 10:52
imasa: 就有可能不會秀出來  那是正常的
imasa: 另外Exception是程式在搜尋registry時搜到他無法判讀的字元
c93cj3: @as55721 它叫你去裝KB4019264這個更新 你確認一下裝了沒544F 05/14 10:53
imasa: 這部分跟我們尋找MS17-010 KB是無關的  所以只先秀訊息出來545F 05/14 10:54
c93cj3: @as55721 然後你掃描的結果當下是安全的546F 05/14 10:54
imasa: ying8375 你能用命令列執行看看嗎? 還有請確認是1.06版547F 05/14 10:55
xliu: 如果偵測中了請問要怎麼處理?548F 05/14 11:19
parkyu531: win10強制更新才是先知549F 05/14 11:30
wsx26997785: http://0rz.tw/yWpvg  偵測了 請問我有中標嗎?550F 05/14 11:30
[圖]
 
wsx26997785: 我沒看到 No presence of DOUBLEPULSAR SMB implant551F 05/14 11:31
maynightdado: 關掉SMB1之後下去測 顯示已經關閉   那測的到關閉之552F 05/14 11:35
maynightdado: 前有沒有中嗎?還是已經中了也會顯示出來@@?
lylia0338: 我的狀況跟樓上一樣554F 05/14 11:37
lylia0338: 也是沒看到No presence of DOUBLEPULSAR SMB implant
yaowei2010: 我跟wsx大一樣 感覺是沒問題556F 05/14 12:04
brain1472000: 這個病毒跟WW3會有關係嗎?557F 05/14 12:06
juchmm: SHA1要怎麼看558F 05/14 12:28
LightEcho: 有指定或建議的解壓縮方式嗎 再次感謝大大559F 05/14 12:55
dknas55: http://imgur.com/a/ln3zB560F 05/14 13:09
[圖]
 
dknas55: 請問出現這種狀況,是哪個環節錯了呢?561F 05/14 13:09

--
※ 看板: ott 文章推薦值: 0 目前人氣: 0 累積人氣: 459 
※ 本文也出現在看板: FW
作者 imasa 的最新發文:
  • +24 [情報] 馬車8 DLC以來最大改動:弱勢角色全面強化 - NSwitch 板
    作者: 36.225.186.65 (台灣) 2023-03-09 19:09:32
    資料來源: 看了一下還沒人發 先來分享一下 其實每一波的馬車8 DLC發布 官方都有偷偷更改一些設定 例如DLC3時把閃電可以把飛在空中的人的滑翔翼打掉的設定取消 或是把輕量級的無敵時間稍微延長等修 …
    49F 24推
  • Re: [閒聊] 瑪利歐賽車鼓跳技巧 - NSwitch 板
    作者: 36.225.212.79 (台灣) 2021-06-27 23:31:07
    花鼓跳(7D)這技巧聽說是一個叫7的人發明的,D是漂移的Drift 其原理就是原本在花鼓上做一般的特技時 特技的火噴完就後 在空中的時間就像開傘的滯空一樣慢慢飄 但是如果你做的是花鼓跳 跳完後你在空中 …
  • +7 [心得] 馬車8綠龜狙擊手黛西 - NSwitch 板
    作者: 36.225.216.136 (台灣) 2021-04-09 02:21:59
    大家好,我是之前的萬分黛西 在馬車裡平常大家拿到綠龜 不是隨手扔掉 不然就是掛在車後防禦 網路上其他文章也頂多就是教你扔在狹窄的地方增加命中率 今天這篇文章就要來告訴大家怎麼樣用綠龜用的有效率 另外不 …
    7F 7推
  • +41 [閒聊] 黛西公主賽車8-你今天黛西了嗎? - NSwitch 板
    作者: 36.229.73.243 (台灣) 2020-11-12 00:29:59
    話先說在前頭 這絕對不是黛西公主推廣文 這天 照樣開著我的黛西公主(咦?)跑萬分房 雖然不是場場都跑在前頭 但總分也是慢慢的累積上去 不過在無意間我發現一件平常不會發生的事情: 竟然只跑第八名...不 …
    47F 41推
  • +35 [心得] 馬車8黛西股(X)積分(O)上萬心得 - NSwitch 板
    作者: 36.229.73.243 (台灣) 2020-11-06 05:13:49
    先來一張圖證明自己用黛西公主破萬 有人可能會覺得這遊戲那麼久了 上萬分又沒什麼稀奇的,幾萬分的比比皆是 不過重點在於 我這一路的積分賽下來 完全沒有換過其他角色、也完全沒用過主流的毛蟲車 很多積分賽老 …
    44F 35推
點此顯示更多發文記錄
分享網址: 複製 已複製
guest
x)推文 r)回覆 e)編輯 d)刪除 M)收藏 ^x)轉錄 同主題: =)首篇 [)上篇 ])下篇